کشف نوع جدیدی از بدافزار سرقت پول نقد از دستگاه‌های خودپرداز

کمیته رکن چهارم – نوع جدیدی از بدافزار سرقت پول نقد از دستگاه‌های خودپرداز کشف شده است. این بدافزار که ATMJackpot نام دارد، به‌نظر می‌رسد هنوز در حال توسعه بوده و فعالیت خود را از هنگ‌کنگ آغاز کرده است. جزئیاتی در مورد گسترش یا استفاده از این بدافزار هنوز در دست نیست.

به گزارش کمیته رکن چهارم،بدافزار ATMJackpot توسط آزمایشگاه تحقیقاتی Netskope کشف شده و مورد تجزیه و تحلیل قرار گرفته است. این بدافزار نسبت به بدافزارهای قبلی سرقت پول نقد از خودپرداز، ردپای کمی از خود به‌جا می‌گذارد، اما همان هدف را که سرقت پول نقد از دستگاه‌های خودپرداز (ATM) است، دنبال می‌کند.

در سرقت پول نقد از دستگاه‌های خودپرداز که به‌عنوان یک حمله‌ی منطقی شناخته می‌شود، بدافزارها برای کنترل پرداخت نقدی از دستگاه‌های خودپرداز مورد استفاده قرار می‌گیرند. این بدافزار را می‌توان از طریق یک پورت USB یا به خطر انداختن از راه دور شبکه‌ی متصدی ATM، به‌صورت محلی به هر دستگاه خودپرداز تحویل داد.

سرقت پول نقد از دستگاه‌های خودپرداز در سال‌های اخیر و به‌طور عمده در اروپا و آسیا، به یک مشکل روزافزون تبدیل شده است. در سال ۲۰۱۷ میلادی، یوروپل هشدار داد که حملات به دستگاه‌های خودپرداز افزایش یافته است. استیون ویلسون، رئیس مرکز جرایم سایبری EC۳ در یوروپل گفت: «استفاده از این بدافزار به‌طور قابل‌توجهی توسعه یافته و محدوده و مقیاس حملات نیز به‌طور معنی‌داری افزایش یافته است.»

اولین حملات علیه دستگاه‌های خودپرداز در ژانویه‌ی ۲۰۱۸ میلادی، در آمریکا و پس از هشدار منتشر شده توسط سرویس‌های مخفی کشف شد. در مارس ۲۰۱۸ میلادی، رهبر گروه Carbanak در اسپانیا دستگیر شد. اعتقاد بر این است که گروه Carbanak در طول سال‌های گذشته، حدود ۱٫۲۴ میلیون دلار به سرقت برده است. روش این گروه، این بود که با استفاده از حملات فیشینگ هدف‌دار علیه کارفرمایان بانک، کارگزارهای کنترل‌کننده‌ی شبکه‌های ATM را به خطر انداخته و سپس از سربازان پیاده (mules) برای جمع‌آوری پول توزیع‌شده از دستگاه‌های خودپرداز خاص در زمان‌های خاص استفاده می‌کرد.

هنوز مشخص نیست که بدافزار ATMJackpot، به‌صورت دستی و از طریق USB در دستگاه‌های خودپرداز نصب شده و یا از یک شبکه‌ی آسیب‌دیده بارگیری می‌شود. نصب فیزیکی بر روی دستگاه خودپرداز، کار مشکلی نیست. در ژوئیه‌ی ۲۰۱۷ میلادی، آیواکتیو چگونگی دسترسی پژوهش‌گران خود به دستگاه خودپرداز Diebold Opteva را تشریح کرد. این دسترسی، با قرار دادن یک میله‌ی فلزی در میان سوراخ بلندگو و بالا بردن نوار قفل فلزی به‌دست آمد. از این طریق، آن‌ها توانستند با مهندسی معکوس نرم‌افزار به vault پول‌ها دسترسی پیدا کنند.

بدافزارهای سرقت پول نقد از دستگاه خودپرداز، برای عدم نیاز به شکستن فیزیکی vault طراحی شده‌اند. آن‌ها می‌توانند از طریق یک پورت USB به قسمت رایانه‌ای دستگاه خودپرداز که vault را کنترل می‌کند، منتقل شوند. اکثر دستگاه‌های خودپرداز از یک نسخه‌ی ویندوز استفاده می‌کنند که به‌خوبی توسط مجرمان شناخته شده است.

بدافزار ATMJackpot در ابتدا کلاس ویندوز با نام «Win» را همراه با رویه‌ای برای فعالیت‌های بدافزار، ثبت می‌کند. سپس گزینه‌های موجود در پنجره را پر کرده و ارتباط با مدیر XFS را آغاز می‌کند. زیرسامانه‌ی XFS برای دسترسی و دستکاری دستگاه‌های خودپرداز فروشندگان مختلف، یک رابط برنامه‌نویسی نرم‌افزار کاربردی مشترک فراهم می‌کند. بدافزار در ادامه نشستی را با ارائه‌دهنده‌ی کارگزار باز کرده و برای نظارت بر روی رویدادها در آن ثبت می‌کند. همچنین نشست‌هایی را با ارائه‌دهندگان سرویس‌های نقدکننده‌ی پول، کارت‌خوان و صفحه‌ی پین ایجاد می‌کند.

پس از آن بدافزار قادر به نظارت بر رویدادها و دستورات بوده و می‌تواند اطلاعات را از پینپد بخواند، پول نقد دریافت کرده و کارت‌ها را از دستگاه خارج کند.

این‌که آیا بدافزار ATMJackpot به‌طور جدی مورد استفاده قرار خواهد گرفت یا خیر، هنوز مشخص نیست. با این وجود، یک نمونه‌ی جدید از بدافزارهایی است که در یک مشکل روبه‌رشد (سرقت پول نقد از دستگاه‌های خودپرداز جهان) استفاده می‌شود.

منبع:securityweek